Zaobserwowano, że wielu atakujących wykorzystuje niedawno ujawnioną lukę w zabezpieczeniach języka PHP do dostarczania trojanów umożliwiających zdalny dostęp, programów do kopania kryptowalut i botnetów przeprowadzających ataki typu DDoS (rozproszona odmowa usługi).
Omawiana luka to CVE-2024-4577 (wynik CVSS: 9,8), która umożliwia atakującemu zdalne wykonywanie złośliwych poleceń w systemach Windows przy użyciu chińskich i japońskich ustawień regionalnych. Została ona ujawniona publicznie na początku czerwca 2024r.
„CVE-2024-4577 to luka, która pozwala atakującemu uciec z wiersza poleceń i przekazać argumenty do interpretacji bezpośrednio przez PHP” — powiedzieli badacze Akamai Kyle Lefton, Allen West i Sam Tinklenberg w środowej analizie. „Sama luka leży w sposobie konwersji znaków Unicode na ASCII”.
Firma zajmująca się infrastrukturą internetową poinformowała, że w ciągu 24 godzin od upublicznienia informacji o próbach wykorzystania luki w kodzie PHP zaczęła obserwować ataki na swoje serwery typu honeypot. Miały one na celu wykrycie luki w kodzie PHP. Obejmowało to eksploity mające na celu dostarczenie trojana umożliwiającego zdalny dostęp o nazwie Gh0st RAT , programów do kopania kryptowalut, takich jak RedTail i XMRig, a także botnetu DDoS o nazwie Muhstik. W zeszłym miesiącu Imperva ujawniła również, że cyberprzestępcy TellYouThePass wykorzystują lukę CVE-2024-4577 do rozpowszechniania wariantu .NET złośliwego oprogramowania szyfrującego pliki. Użytkownikom i organizacjom korzystającym z PHP zaleca się aktualizację instalacji do najnowszej wersji w celu zabezpieczenia się przed aktywnymi zagrożeniami.
Cloudflare ogłosiło, że odnotowało 20% wzrost ataków DDoS rok do roku w drugim kwartale 2024 r. i że złagodziło 8,5 miliona ataków DDoS w ciągu pierwszych sześciu miesięcy. Dla porównania, firma zablokowała 14 milionów ataków DDoS przez cały 2023 r. Ogólnie rzecz biorąc, liczba ataków DDoS w drugim kwartale spadła o 11% w porównaniu z poprzednim kwartałem, ale wzrosła o 20% w ujęciu rok do roku – stwierdzili Omer Yoachimik i Jorge Pacheco w raporcie na temat zagrożeń DDoS za drugi kwartał 2024 r. Znane botnety DDoS odpowiadały za połowę wszystkich ataków HTTP DDoS. Fałszywe aplikacje użytkownika i przeglądarki bezgłowe (29%), podejrzane atrybuty HTTP (13%) i ogólne floods (7%) to inne główne wektory ataków HTTP DDoS.
Najbardziej atakowanym krajem w tym okresie były Chiny, a następnie Turcja, Singapur, Hongkong, Rosja, Brazylia, Tajlandia, Kanada, Tajwan i Kirgistan. Technologie informacyjne i usługi, telekomunikacja, dobra konsumpcyjne, edukacja, budownictwo oraz żywność i napoje stały się głównymi sektorami ataków DDoS.